Eine belastbare Cybersicherheits-Roadmap für Ihr Unternehmen entwickeln

Eine Cybersicherheits-Roadmap ergibt sich direkt aus dem Prozess der Entwicklung einer Jahresstrategie für das Programm zur Cybersicherheit. Dieser strategische Planungsprozess beginnt mit der Entwicklung einer Vision für die Cybersicherheit, die auf realen Einflussfaktoren in Bezug auf das Geschäft, die Technologie und das breitere wirtschaftliche Umfeld basiert.

Sobald Unternehmen ihre Vision definiert haben, müssen sie den aktuellen Stand des Programms bewerten und Lücken identifizieren, die geschlossen werden müssen, um die Vision Wirklichkeit werden zu lassen (weitere Informationen zur strategischen Planung der Cybersicherheit finden Sie unter „Best Practices für die Cybersicherheitsstrategie“).

Um den besten Überblick über den aktuellen Stand des Programms zu erhalten, verwenden Sie eine Kombination verschiedener Bewertungstypen. Zu den Beispielen gehören:

• Beurteilung der Kontrollwirksamkeit, um die Ausgereiftheit der Kontrollimplementierung zu bestimmen, verglichen mit ähnlichen Unternehmen und ausgerichtet an Industriestandards

• Schwachstellenanalysen und Penetrationstests zur Bewertung der technischen Infrastruktur

• Risikobewertungen, um die Investitionen in Kontrollen den tatsächlichen Risiken entsprechend abzuwägen

• Jüngste Audit-Ergebnisse

• Programmmanagement-Bewertungen zur Evaluierung und zum Benchmarking der Ausgereiftheit von Cybersicherheitsrichtlinien, -prozessen und -programmen

• Benchmarks für Ausgaben und Personal im Bereich Cybersicherheit, um die Ressourcen mit ähnlichen Unternehmen zu vergleichen

Fassen Sie die Bewertungsergebnisse in einem „Aktuellen Stand“-Dokument zusammen. Vergleichen Sie dann den aktuellen Zustand mit der Vision, um Lücken zwischen beiden zu identifizieren. Das Ergebnis der Lückenanalyse ist in der Regel eine Liste mit Projekten und Maßnahmen, die das Programm zur Cybersicherheit im kommenden Jahr in Angriff nehmen könnte.

Einige der Lücken werden klare Maßnahmen nach sich ziehen. Das Fehlen standardisierter Richtlinien für öffentliche Cloud-Computing-Partner weist beispielsweise darauf hin, dass Cybersicherheitsrichtlinien für den Cloud-Kontext entwickelt werden müssen.

Mit Lücken sind jedoch nicht immer offensichtliche Aktionen verbunden. Dies gilt insbesondere für Lücken, die aufgrund mehrerer Faktoren und Abhängigkeiten entstehen. Besteht beispielsweise eine Lücke zwischen der aktuellen Ausgereiftheit der Sicherheits-Governance und dem in Ihrer Vision definierten Niveau, ist eine eingehende Problemlösung erforderlich, um einen Verbesserungsplan zu erstellen.

Die angefügte Abbildung zeigt beispielhaft einen Überblick über den aktuellen und Sollzustand sowie eine Lückenidentifizierung für ein Unternehmen, das die Einführung eines kontinuierlichen Bedrohungsrisikomanagements (Continuous Threat Exposure Management, CTEM) ins Auge fasst. Beachten Sie, wie in der Übersicht die gewünschte Vision bzw. der Sollzustand mit dem aktuellen Zustand verglichen wird und Möglichkeiten zum Schließen der wachsenden Lücken in der Cybersicherheit identifiziert werden. Der Migrationsplan empfiehlt in der Reihenfolge ihrer Priorität die Maßnahmen, die CISOs ergreifen sollten, um einen modernen Ansatz zum Umgang mit Cybersicherheitsproblemen umzusetzen.

Nur wenige Unternehmen verfügen über die Ressourcen, um alle identifizierten Aktivitäten im gleichen Planungszeitraum umzusetzen. Stattdessen müssen Führungskräfte im Bereich Cybersicherheit Prioritäten anhand der folgenden Kriterien setzen:

• Ausmaß des Risikominderungspotenzials eines bestimmten Projekts oder einer bestimmten Aktivität

• Erforderliche Ressourcen wie Fähigkeiten, Personal und Systeme

• Finanzielle Kosten

• Zeit bis zur Wertschöpfung, d. h. die Zeitspanne zwischen dem Start des Projekts und dem Zeitpunkt, an dem das Unternehmen einen Nutzen daraus ziehen kann

Ihre Cybersicherheits-Roadmap sollte leicht zu lesen und für alle, die sie brauchen, verständlich und zugänglich sein. Der Roadmap-Bericht und die Präsentation sollten außerdem den aktuellen und gewünschten Zustand des Programms zur Cybersicherheit klar beschreiben und darlegen, wie die vorrangigen Projekte zur Verwirklichung der Vision beitragen werden. Diese Faktoren erhöhen die Wahrscheinlichkeit, dass die Roadmap ihren Zweck erfüllt, indem sie die Unterstützung der Organisation fördert und die Strategie mit der Umsetzung für die Cybersicherheitsteams verknüpft.

Um die Kommunikation und Benutzerfreundlichkeit zu optimieren, muss das Cybersicherheitsteam möglicherweise unterschiedliche Versionen der Roadmap für verschiedene Zielgruppen entwickeln. Das Format und der Inhalt der Version der Führungskraft können sich beispielsweise darauf konzentrieren, wie die Elemente der Roadmap mit bestimmten Geschäftszielen zusammenhängen. Im Gegensatz dazu können Format und Inhalt für Mitarbeitende der mittleren Führungsebene die verschiedenen Schritte verschiedener Projekte sowie die zusätzliche Datenerfassung oder Problemlösung hervorheben, die im Rahmen eines Projekts erforderlich ist.

Eine wirksame Cybersicherheits-Roadmap ist:

• Zeitgerecht – Liefern und aktualisieren Sie die Roadmap in den Zeitabschnitten, die die Zielgruppe benötigt.

• Intuitiv – Sorgen Sie dafür, dass die Roadmap für die Zielgruppe leicht verständlich ist. Sie können sie für andere Zielgruppen umfunktionieren, indem Sie die Perspektive oder den Blickwinkel ändern, während Sie die gleichen Datenelemente beibehalten.

• Umsetzbar – Stellen Sie sicher, dass die Roadmap klar ist und sofort verwendet werden kann, um die Ausführung durch die Stakeholder zu ermöglichen. Fügen Sie die richtigen Informationen für die Stakeholder hinzu und sorgen Sie dafür, dass diese leicht zu finden sind.

Typische Cybersicherheits-Roadmaps spiegeln auch die Risikopriorisierung und etwaige Abhängigkeiten einer bestimmten Initiative von anderen Projekten im Portfolio wider.